Viết bởi Paul Murray

NGÀY 14 THÁNG 2 NĂM 2024

Các tổ chức sử dụng Veeam Backup & Replication giờ đây có thể tăng cường khả năng phòng thủ chống lại ransomware bằng Sophos MDR và Sophos XDR. Đọc tiếp để tìm hiểu cách tích hợp mới của Sophos với Veeam mang lại khả năng hiển thị tốt hơn để phát hiện và ngăn chặn các mối đe dọa nhắm mục tiêu vào dữ liệu sao lưu.

Sao lưu và phục hồi là một phần không thể thiếu trong chiến lược an ninh mạng toàn diện. Kẻ thù cố gắng giả mạo các giải pháp sao lưu để ngăn chặn quá trình phục hồi sau các cuộc tấn công bằng ransomware – việc phát hiện sớm hoạt động độc hại này là rất quan trọng.

Sự tích hợp mới của Sophos với Veeam trao đổi liền mạch thông tin bảo mật khi mối đe dọa xuất hiện, mở rộng khả năng hiển thị để giúp phát hiện, điều tra và ứng phó với các cuộc tấn công đang hoạt động.

Mối quan hệ hợp tác mới mạnh mẽ này mang đến sự an tâm rằng dữ liệu sao lưu luôn sẵn có và được bảo vệ, cho phép các tổ chức phát hiện các mối đe dọa, điều tra hoạt động đáng ngờ và cuối cùng là khôi phục dữ liệu nhanh chóng.

Với Sophos và Veeam, các tổ chức có thể đảm bảo tính toàn vẹn và sẵn có của các bản sao lưu, giảm nguy cơ mất dữ liệu do phần mềm độc hại, vô tình xóa, các mối đe dọa bảo mật nội bộ và các tình huống mất dữ liệu khác.

• Dịch vụ Sophos MDR cung cấp khả năng giám sát bảo mật 24/7, lọc các cảnh báo dư thừa và điều tra các mối đe dọa đối với môi trường Veeam, như các nỗ lực xóa kho lưu trữ sao lưu, vô hiệu hóa xác thực đa yếu tố, xóa mật khẩu mã hóa, v.v.
• Các tổ chức sử dụng giải pháp Sophos XDR để điều tra và phản hồi nội bộ cũng có thể tích hợp phép đo từ xa Veeam để xác định hoạt động độc hại tiềm ẩn, kết hợp với phát hiện mối đe dọa từ các nguồn khác trong một nền tảng và bảng điều khiển thống nhất.

Sự bảo vệ mạnh mẽ nhất chống lại các cuộc tấn công ransomware

Giải pháp Sophos XDR và dịch vụ Sophos MDR bao gồm công nghệ CryptoGuard hàng đầu trong ngành có khả năng phát hiện và ngăn chặn phần mềm tống tiền trên toàn cầu trước khi nó tác động đến hệ thống của khách hàng, bao gồm các biến thể mới cũng như mã hóa cục bộ và từ xa .

Khả năng ngăn chặn, phát hiện và phản hồi vượt trội của Sophos, kết hợp với các bản sao lưu và phiên bản bất biến do Veeam cung cấp, đảm bảo dữ liệu sao lưu vẫn được an toàn và có thể phục hồi.

Nâng cao khả năng phòng thủ của bạn với tích hợp Veeam mới của Sophos

Tích hợp Veeam mới hiện có sẵn dưới dạng tiện ích bổ sung cho đăng ký Sophos MDR và Sophos XDR thông qua giấy phép Gói tích hợp “Sao lưu và phục hồi” mới.

Để tìm hiểu thêm và khám phá cách Sophos MDR và Sophos XDR có thể giúp tổ chức của bạn bảo vệ tốt hơn trước các đối thủ đang hoạt động, bao gồm các cuộc tấn công nhắm vào kho lưu trữ dự phòng của bạn, hãy trao đổi với cố vấn Sophos hoặc đối tác Sophos của bạn.

Đã là khách hàng của Sophos MDR hoặc Sophos XDR? Kích hoạt tích hợp Veeam trong bảng điều khiển Sophos Central của bạn ngay hôm nay.

Bài viết hướng dẫn cấu hình query kiểm tra ổ cứng của các máy trạm và máy chủ Windows trong hệ thống

Sophos XDR có hỗ trợ query với Sophos Data Lake. Sophos Data Lake cung cấp dữ liệu về thiết bị của bạn được lưu trữ trên đám mây. Sau đó, bạn có thể sử dụng Sophos Live Discover để thực hiện các query như: Chạy các truy vấn bảo mật trên tất cả các thiết bị của bạn, ngay cả khi các thiết bị đang offline. Dữ liệu truy vấn trong 7 ngày qua hoặc 30 ngày qua (tùy thuộc vào license của bạn). 

Lợi thế của query Data Lake là việc truy vấn dữ liệu sẽ nhanh hơn do không cần query xuống Endpoint để lấy thông tin.

Bài viết sẽ hướng dẫn các bạn sử dụng SQL code được custom bởi Sophos XDR để query tất cả thông tin của ứng dụng được cài đặt trên endpoint để so sánh với các phiên bản có lỗ hổng bảo mật đã biết sử dụng Data Lake

Mô hình query

Hướng dẫn thực hiện

Bước 1: Tạo Custom Query

• Đăng nhập Sophos Central Admin -> Chọn Threat Analysis Center -> Chọn Live Discover -> Bật Designer mode -> Nhấn Create new query

• Đặt tên cho query của bạn
• Ở mục Category: Chọn category mà bạn muốn lưu query vào
• Ở mục Source: Chọn Live Endpoint và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -> Tìm hiểu thêm trên Sophos Community”
• Ở mục SQL: Nhập đoạn code query

SELECT
partitions,
disk_index ,
type,
id,
pnp_device_id,
disk_size,
manufacturer,
hardware_model,
name,
serial,description
FROM
disk_info

• Nhấn Save

Bước 2: Thực hiện test query

• Chọn Query mà bạn đã tạo trước đó
• Ở mục Device selector: Chọn các máy tính mà bạn muốn query
• Nhấn Run Query

Bước 3: Kiểm tra kết quả

Live Discover là một tính năng cho phép quản trị viên có được khả năng lấy các thông tin của Endpoint trong hệ thống mạng. Nó cho phép truy cập trực tiếp vào một thiết bị để hiểu trạng thái chạy hiện tại và hoạt động lịch sử của nó.

Live Discover dựa trên osquery, một dự án mã nguồn mở cho phép quản trị viên hiểu được trạng thái đang chạy hiện tại của thiết bị. Nó sử dụng các truy vấn SQL để lấy các thông tin của thiết bị.

Bài viết hôm nay sẽ hướng dẫn các bạn query để lấy các thông tin theo file type (.docx, .exe, .zip,…) trong các thư mục cụ thể trên endpoint.

2. Hướng dẫn

Bước 1: Tạo new query.

Bạn đăng nhập vào Sophos Central Admin > Threat Analysis Center > Live Discover.

Ở đây Sophos đã cung cấp các category (Device, File, Event,…) có sẵn để người dùng có thể dùng để query các thông tin trên máy trạm và máy chủ. Ngoài các category có sẵn, Sophos cũng cho phép bạn custom các query theo ý bạn muốn.

Bạn click chọn bật Designer Mode > click Create New Query.

Query name: Đặt tên cho query bạn muốn tạo.

Ví dụ: Search subfolders for a specific filename or extension

Category: chọn category cho query này. Ex: File

Soucre: click chọn Live Endpoint (chọn Window/Mac/Linux)

SQL: Bạn nhập code query bạn muốn tìm kiếm thông tin.

Ví dụ: Tìm kiếm các file có đuôi .exe trên desktop của Endpoint

SELECT
  path,
  directory,
  filename,
  device,
  size
FROM file
WHERE directory LIKE ‘C:\users\%\desktop%%’ AND filename LIKE ‘%%.exe’

Bước 2: Chọn Device để query.

Trong phần Device Selector, bạn click icon hình tam giác. Click chọn các endpoint bạn cần query thông tin.

Chọn Run Query.

Nếu hiện lên thông báo này. Tiếp tục click chọn Run Query.

Bạn đợi quá trình query lấy thông tin trên thiết bị hoàn thành.

Bước 3: Check kết quả query

Sau khi query, bạn sẽ có các thông tin về các file có đuôi .exe trên các endpoint được chọn.

Bạn có thể thay đổi file type trong phần code “LIKE ‘%%.zip” và đường dẫn tìm kiếm chuyển sang thư mục “downloads“.

Kết quả.

Hoặc thay đổi đuôi file.pdf

Live Discover là một tính năng cho phép quản trị viên có được khả năng lấy các thông tin của Endpoint trong hệ thống mạng. Nó cho phép truy cập trực tiếp vào một thiết bị để hiểu trạng thái chạy hiện tại và hoạt động lịch sử của nó.

Live Discover dựa trên osquery, một dự án mã nguồn mở cho phép quản trị viên hiểu được trạng thái đang chạy hiện tại của thiết bị. Nó sử dụng các truy vấn SQL để lấy các thông tin của thiết bị.

Bài viết hôm nay sẽ hướng dẫn các bạn query để lấy các thông tin của thiết bị như version hệ điều hành đang chạy, IP của thiết bị, địa chỉ MAC, các ổ đĩa, dung lượng ổ đĩa, dung lượng còn trống của ổ đĩa là bao nhiêu phần trăm, RAM, CPU,… được cài Sophos Endopoint trong hệ thống mạng.

2. Hướng dẫn.

Bước 1: Tạo code query.

Bạn đăng nhập vào Sophos Central Admin > Threat Analysis Center > Live Discover.

Ở đây Sophos đã cung cấp các category (Device, File, Event,…) có sẵn để người dùng có thể dùng để query các thông tin trên máy trạm và máy chủ. Ngoài các category có sẵn, Sophos cũng cho phép bạn custom các query theo ý bạn muốn.

Bạn click chọn bật Designer Mode > click Create New Query.

Query name: Đặt tên cho query bạn muốn tạo.

Ví dụ: Device Activity (Multiple queries in one)

Category: chọn category cho query này. Ex: Device

Soucre: click chọn Live Endpoint (chọn Window/Mac/Linux)

SQL: Bạn nhập code query bạn muốn tìm kiếm thông tin.

Ví dụ: Bạn có thể truy cập đường link này để lấy code query.

Link: https://community.sophos.com/intercept-x-endpoint/i/device/device-activity-multiple-queries-in-one

Bước 2: Chọn Device để query.

Trong phần Device Selector, bạn click icon hình tam giác. Click chọn các endpoint bạn cần query thông tin.

Chọn Run Query.

Nếu hiện lên thông báo này. Tiếp tục click chọn Run Query.

Bạn đợi quá trình query lấy thông tin trên thiết bị hoàn thành.

Bước 3: Check kết quả query

Sau khi query, bạn sẽ có các thông tin về thiết bị như: Version hệ điều hành đang chạy, IP của thiết bị, địa chỉ MAC, Các ổ đĩa, dung lượng ổ đĩa, dung lượng còn trống của ổ đĩa là bao nhiêu phần trăm, RAM, CPU, thời gian reboot gần đây.

Ngoài ra còn có các hoạt động của user như sử dụng cmd, onedrive,..

Bài viết hướng dẫn cách cấu hình Query tìm kiếm Ip Facebook trên Sophos Firewall Datalake

Sophos XDR là một công cụ của Sophos để hỗ trợ quản trị viên trong việc tìm kiếm các thông tin cần thiết trong hệ thống mạng của mình bằng các câu lệnh query

Mô hình query

Hướng dẫn cấu hình

Bước 1: Tạo Custom Query

• Đăng nhập Sophos Central Admin -> Chọn Threat Analysis Center -> Chọn Live Discover -> Bật Designer mode -> Nhấn Create new query

• Đặt tên cho query của bạn
• Ở mục Category: Chọn category mà bạn muốn lưu query vào
• Ở mục Source: Chọn Datalake và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -> Tìm hiểu thêm trên Sophos Community”
• Ở mục SQL: Nhập đoạn code query

SELECT DISTINCT

   app_name,

   dst_ip

FROM

   xgfw_data

WHERE

   app_name like ‘%Facebook%’Nhấn Save

Bước 2: Thực hiện test query

• Chọn Query mà bạn đã tạo trước đó
• Ở mục Device selector: Chọn các máy tính mà bạn muốn query
• Nhấn Run Query

Bước 3: Kiểm tra kết quả

Chúng ta xem thông tin query được ở mục dưới.Chọn Export để xuất dữ liệu ra file csv

Bài viết hướng dẫn cấu hình query kiểm tra phần mềm Chrome trên hệ thống máy trạm và máy chủ trong hệ thống của doanh nghiệp, để phát hiện được những phần mềm Chrome với phiên bản cũ có lỗ hổng CVE-2022-1364

Để từ các thông tin query được, ta sẽ dựa vào đó để cập nhật lên version 100.0.4896.127 mới nhất của Chrome để ngăn chặn lỗ hổng CVE-2022-1364

Sophos XDR có hỗ trợ query với Sophos Data Lake. Sophos Data Lake cung cấp dữ liệu về thiết bị của bạn được lưu trữ trên đám mây. Sau đó, bạn có thể sử dụng Sophos Live Discover để thực hiện các query như: Chạy các truy vấn bảo mật trên tất cả các thiết bị của bạn, ngay cả khi các thiết bị đang offline. Dữ liệu truy vấn trong 7 ngày qua hoặc 30 ngày qua (tùy thuộc vào license của bạn). 

Lợi thế của query Data Lake là việc truy vấn dữ liệu sẽ nhanh hơn do không cần query xuống Endpoint để lấy thông tin.

Bài viết sẽ hướng dẫn các bạn sử dụng SQL code được custom bởi Sophos XDR để query tất cả thông tin của ứng dụng được cài đặt trên endpoint để so sánh với các phiên bản có lỗ hổng bảo mật đã biết sử dụng Data Lake

Mô hình query

Hướng dẫn cấu hình

Hướng dẫn

Bước 1: Tạo query code với Data Lake

• Để tìm hiểu nhiều hơn về các query mới bạn có thể tham gia forum sau: https://community.sophos.com/intercept-x-endpoint/p/query-forum

• Đăng nhập Sophos Central Admin > Threat Analysis Center > Live Discover >Data Lake Queries

• Ở đây bạn có thể thấy các query được sophos tích hợp sẵn, với các phân loại query như Device, Network,…bạn chỉ cần chọn loại query, chọn run query và kiểm tra kết quả.

• Để custom query bạn chọn Enable Designer Mode > Chọn Data Lake Queries > Create new query.

• Tiếp theo bạn điền các thông tin sau:

+ Query Name: Đặt tên cho query

+ Category: Chọn phân loại query

+ Chọn Data Lake

• Nhấn Add variable và điền các thông tin như sau

• Ở mục SQL code: Nhập đoạn code sau

WITH Counted_Apps AS (
WITH App_List AS (
SELECT DISTINCT meta_hostname, name, version, publisher, install_date
FROM xdr_data
WHERE query_name = ‘windows_programs’ AND name > ” AND
LOWER(name) LIKE LOWER(‘%$$Application Name$$%’) AND LOWER(version) LIKE LOWER(‘%$$Application Version$$%’) AND
LOWER(publisher) LIKE LOWER (‘%$$Publisher Name$$%’) AND LOWER(meta_hostname) LIKE LOWER (‘%$$Host Name$$%’)
)

— WHEN Name, version and Publisher are wildcards group by publisher and put the name, version and devices info into a list
SELECT
publisher, COUNT(meta_hostname) Instances,
array_join(array_agg(DISTINCT name), ‘,’||CHR(10)) App_name_List,
array_join(array_agg(DISTINCT version), ‘,’||CHR(10)) version_LIST,
array_join(array_agg(DISTINCT meta_hostname), ‘,’||CHR(10)) DeviceName_LIST, MIN(install_date) Earliest_Install, MAX(install_date) Last_Install
FROM App_List WHERE
‘$$Application Name$$’ = ‘%’ AND ‘$$Application Version$$’ = ‘%’ AND ‘$$Publisher Name$$’ = ‘%’
GROUP BY publisher

UNION ALL

— In all other instances breach out everything on their own line, only grouping the device info
SELECT
publisher, COUNT(meta_hostname) Instances,
name,
version,
array_join(array_agg(DISTINCT meta_hostname), ‘,’||CHR(10)) DeviceName_LIST, MIN(install_date) Earliest_Install, MAX(install_date) Last_Install
FROM App_List WHERE
(‘$$Application Name$$’ <> ‘%’ OR ‘$$Application Version$$’ <> ‘%’ OR ‘$$Publisher Name$$’ <> ‘%’)
GROUP BY publisher, name, version
)
SELECT DISTINCT * FROM Counted_Apps ORDER BY publisher ASC

• Click Run Query

Bước 2: Kiểm tra kết quả

• Sau khi query xong, bạn sẽ có các thông tin version của các ứng dụng được tích hợp trong query code của từng endpoint có dữ liệu trên Data Lake.

Bài viết hướng dẫn cách cấu hình Query tìm kiếm các user có quyền administrator trên máy trạm hoặc server bằng việc sử dụng Sophos XDR

Sophos XDR là một công cụ của Sophos để hỗ trợ quản trị viên trong việc tìm kiếm các thông tin cần thiết trong hệ thống mạng của mình bằng các câu lệnh query

Mô hình query

Hướng dẫn cấu hình

Bước 1: Tạo Custom Query

• Đăng nhập Sophos Central Admin -> Chọn Threat Analysis Center -> Chọn Live Discover -> Bật Designer mode -> Nhấn Create new query

• Đặt tên cho query của bạn
• Ở mục Category: Chọn category mà bạn muốn lưu query vào
• Ở mục Source: Chọn Live Endpoint và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -> Tìm hiểu thêm trên Sophos Community”
• Ở mục SQL: Nhập đoạn code query

SELECT username, groupname, type, u.UID, g.GID, Description, comment
FROM users u
JOIN user_groups ug ON ug.UID = u.UID
JOIN groups g ON g.GID = ug.GID
WHERE g.GROUPNAME = “Administrators”
AND u.type = “local”;

• Nhấn Save

Bước 2: Thực hiện test query

• Chọn Query mà bạn đã tạo trước đó
• Ở mục Device selector: Chọn các máy tính mà bạn muốn query
• Nhấn Run Query

Bước 3: Kiểm tra kết quả

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách sửa lỗi The –customertoken command line parameter is invalid khi cài đặt Sophos Endpoint trên Windows 10.

2.Tình huống cấu hình

Thegioifirewall có một máy tính chạy Windows đã john domain nhưng đã lâu không kết nối về domain do đang làm việc ở nhà.

Khi cài đặt Sophos Endpoint cho máy tính này thì gặp lỗi The –customertoken command line parameter is invalid như hình sau.

3.Hướng dẫn cấu hình

Nguyên nhân dẫn đến lỗi này là do khi cài đặt Sophos Endpoint thì phần mềm cần lấy thông tin về domain trên máy.

Tuy nhiên do máy đã không kết nối với AD một khoản thời gian nên việc lấy thông tin này không thành công và khi cài đặt sẽ xuất hiện lỗi The –customertoken command line parameter is invalid.

Để xử lý tình huống này chúng ta có 2 cách sau.

Cách đầu tiên là chúng ta sẽ cho máy tính kết nối với AD trở lại và lúc đó việc cài đặt sẽ diễn ra bình thường.

Cách thứ 2 là chúng ta sẽ đăng xuất khỏi tài khoản domain đang có trên máy và đăng nhập máy tính bằng tài khoản local của máy (đây là tài khoản được sử dụng trước khi john domain).

Sau đó thực hiện cài đặt lại Sophos Endpoint trên máy này và kết quả là cài đặt thành công.

Thegioifirewall sẽ hướng các bạn sử dụng tính năng Live Discover của Sophos Central để tạo query kiểm tra số lần đăng nhập sai vào máy chủ và máy trạm chạy Windows trong thời gian xác định.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

• Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos Firewall với IP 10.150.30.106.
• Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 172.16.16.16/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.
• Trong mạng LAN chúng ta sẽ có 2 thiết bị một là máy chủ WIN-V3N9Q4OC2GG với IP 172.16.16.19/24 và đã được cài đặt Sophos Endpoint.

• Hai là PC chạy Windows 10 tên DESKTOP-HP5D580 có IP 172.16.16.17/24 và cũng đã được cài đặt Sophos Endpoint.

3.Tình huống cấu hình

Thực hiện tạo Query trên Sophos Central bằng tính năng Live Discover để kiểm tra xem số lần đăng nhập sai trên 2 thiết bị DESKTOP-HP5D580 và máy chủ WIN-V3N9Q4OC2GG.

4.Các bước cấu hình

• Tạo query.

5.Hướng dẫn cấu hình.

5.1.Tạo query

Để tạo query các bạn vào Threat Analysis Center > Live Discover.

Đầu tiên chúng ta sẽ bật Designer Mode.

Sau đó chúng ta nhấn Create new query để tạo query mới.

Bảng tạo query hiện ra chúng ta sẽ nhập vào các thông tin như sau:

• Query Name: đặt tên cho query này là Login Failed attempts Query For WINDOWS.
• Category: chọn Device.
• Source: chọn Live Endpoint và chọn Windows (Lưu ý với tùy chọn này thì yêu cầu máy tính hoặc máy chủ phải có kết nối internet mới có thể query).

• Tại ô SQL chúng ta nhập vào đoạn code dưới đây.

SELECT
datetime(time,’unixepoch’,’localtime’) as ‘Time’,
eventid,
task_message,
json_extract(data,’$.EventData.FailureReason’)as FailureReason,
json_extract(data,’$.EventData.TargetUserName’) as UserName
FROM sophos_windows_events
WHERE eventid=’4625′ AND UserName <> ” AND time > STRFTIME(‘%H’,’NOW’,’24 hours’);

Chúng ta cần chú ý đến dòng cuối của đoạn sql query, ở đoạn này đang để là 24 hours tức là nó sẽ query số lần đăng nhập sai từ thời điểm nhấn Run Query lùi về 24 giờ trước đó.

Bạn có thể tùy chỉnh thông tin này để tăng thời gian, còn trong bài viết này mình sẽ để là 24 giờ.

• Tại Device selector chúng ta chọn máy tính và máy chủ đã được cài đặt Sophos Endpoint và nhấn Query.

Đợi vài giây thì kết quả query sẽ ra số lần đăng nhập sai trên cả hai máy.

Đây là số lần đăng nhập sai trên máy windows 10.

Đây là số lần đăng nhập sai trên máy chủ.

Với tính năng Live Discover và đoạn query này, nó giúp chúng ta có thể kiểm tra được số lần đăng nhập sai trên cả máy chủ và máy trạm, cung cấp đầy đủ thông về thời gian nào thì lần đăng nhập sai đó xảy ra, họ đăng nhập bằng user nào.

Từ đó giúp người quản trị có thể nhanh chóng truy vết và kịp thời phát hiện các sự cố về bảo mật như dò password của máy chủ bằng Brute Force hoặc có người nào đó đang cố tình dò mật khẩu máy tính cá nhân.

Sophos Extended Detection and Response (XDR)  cho phép bạn điều tra các mối đe dọa đã phát hiện (“threat cases”) và tìm kiếm các mối đe dọa mới hoặc điểm yếu bảo mật. Nó cũng cho phép bạn giám sát thiết bị và khắc phục sự cố từ xa. Với Sophos XDR sẽ cho phép bạn truy cập vào cả dữ liệu được lưu trữ trên cloud và trực tiếp trên thiết bị. Có nghĩa là bạn luôn có dữ liệu cập nhật mới nhất

Bài viết hướng dẫn chúng ta sử dụng công cụ Live Discover của Sophos CIXA with EDR để có thể query được tất cả máy trạm, máy chủ Windows cần reboot lại. Điều đó giúp giảm thiểu thời gian cho quản trị viên phải đi xuống từng máy để kiểm tra

Mô hình query

Hướng dẫn cấu hình

Bước 1: Tạo Custom Query

• Đăng nhập Sophos Central Admin -> Chọn Threat Analysis Center -> Chọn Live Discover -> Bật Designer mode -> Nhấn Create new query

• Đặt tên cho query của bạn
• Ở mục Category: Chọn category mà bạn muốn lưu query vào
• Ở mục Source: Chọn Live Endpoint và chọn hệ điều hành mà bạn muốn (một số câu query sẽ không hỗ trợ hệ điều hành mà bạn chọn) -> Tìm hiểu thêm trên Sophos Community”
• Ở mục SQL: Nhập đoạn code query

WITH rebootRequired AS (SELECT
CASE
WHEN data LIKE ‘1’ THEN ‘Yes’
ELSE ‘No’
END AS RebootRequired
FROM registry
WHERE path LIKE ‘HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\AutoUpdate\UpdateStatus\VolatileFlags\RebootRequired’),

rebootRequiredDate AS (SELECT datetime(CAST(data AS unsigned_bigint)/1000,’unixepoch’,’localtime’) AS RequiredSince
FROM registry
WHERE path LIKE ‘HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\AutoUpdate\UpdateStatus\VolatileFlags\RebootRequiredSince’)

SELECT RebootRequired,
CASE
WHEN RebootRequired = ‘No’ THEN ‘n/a’
ELSE RequiredSince
END AS rebootRequiredDate
FROM rebootRequired JOIN rebootRequiredDate

• Nhấn Save

Bước 2: Thực hiện test query

• Chọn Query mà bạn đã tạo trước đó
• Ở mục Device selector: Chọn các máy tính mà bạn muốn query
• Nhấn Run Query

Bước 3: Kiểm tra kết quả